يتطور الفضاء الرقمي بسرعة هائلة منذ أعوام بحيث أصبحت التكنولوجيا حاجة وجزءًا لا يتجزأ من حياتنا اليومية، وعليه باتت البيانات والمعلومات الشخصية التي يتم جمعها، تخزينها، ومعالجتها من قبل جهات مختلفة (سواءً الإدارات العامة للدولة أو شركات خاصة) تُمثل مصدر قلق لدى المواطنين في العالم العربي، ما يستدعي إقرار أُطر وتشريعات قانونية واضحة لتنظيم هذا القطاع.
تُعَرّف البيانات الشخصية وفق "اليونسكو" بأنها أيّة معلومات تتعلق بشخص معيّن وتتيح التعرف عليه، إما بصورة مباشرة أو غير مباشرة، استنادًا إلى تلك البيانات بحد ذاتها أو من خلال اتخاذ إجراءات ممكنة ومعقولة. وترتبط البيانات بمفهوم الخصوصية الذي نصّ عليه العهد الدولي الخاص بالحقوق المدنية والسياسية في المادة 17 منه، والتي تقول بأنه "لا يجوز تعريض أي شخص، على نحو تعسفي أو غير قانوني، لتدخل في خصوصياته أو شؤون أسرته أو بيته أو مراسلاته، ولا لأي حملات غير قانونية تمس شرفه أو سمعته".
ويكمن الخوف الأساسي في موضوع البيانات الشخصية من ولوج جهات غير مخوّلة لمعالجة هذه المعلومات، أو أن يتم استخدامها بطريقة سيئة، خاصة في ظل أنظمة سياسية عربية تميل دائمًا لمحاولة فرض السيطرة على المعارضين وأصحاب الرأي من عدّة جوانب، ومن ضمنها قد تكون السيطرة على بياناتهم، كالمعلومات الشخصية، الاجتماعية، أو حتّى الصحية والبيومترية.
ويحتفل العالم في 28 كانون الثاني/يناير من كل عام باليوم العالمي لحماية المعطيات الشخصية لتسليط الضوء على ضرورة حفظ البيانات والمعلومات ومعالجتها بطريقة سليمة وآمنة.
قوانين موجودة..ولكن
تملك معظم الدول العربية قوانين خاصة بالبيانات الشخصية للمواطنين، منها ما هو قديم، وما هو مستحدث، ولكن يؤخذ على هذه القوانين (على أهمية وجودها) أنها مليئة بالثغرات والعقبات التي تمنعها من تأمين حماية حقيقية للمعطيات الخاصة.
وتفتقر غالب هذه القوانين لمواكبة المعايير العالمية لحماية البيانات لا سيما "اللائحة العامة لحماية البيانات الشخصية GDPR" المطبق من الإتحاد الأوروبي والذي صدر عام 2016 وبدأ تنفيذه عام 2018، ويُعتبر من أفضل القوانين في العالم لحماية البيانات الشخصية، بل وميزان للحكم على نجاح أي قانون يتعلق بالبيانات، ويعطي هذا القانون صاحب البيانات الحق في عدة أمور مهمة منها:
- الحق في أخذ موافقة صريحة منه قبل جمع بياناته واستخدامها (المادة 6).
- الحق في الحصول على المعلومات التي يحتاجها من مراقب البيانات، ومنها معرفة الغرض من المعالجة، والفترة المتوقعة لتخزين البيانات (المادة 15).
- الحق في تصحيح البيانات غير الدقيقة المتعلقة به، وإكمال البيانات الشخصية غير المكتملة (المادة 16).
- الحق في مسح بياناته الشخصية Right to be forgotten ( المادة رقم 17).
- الحق في الاعتراض، في أي وقت على معالجة البيانات الشخصية المتعلقة به. وبناءً على تلك الأحكام، لن يقوم المراقب بمعالجة البيانات الشخصية ما لم يُوضح أسبابًا مشروعة ومقنعة للمعالجة تتجاوز مصالح وحقوق وحريات صاحب البيانات (المادة 21).
- الحق في تقديم شكوى إلى سلطة إشرافية، في الدولة العضو التي يُقيم فيها إذا كان يعتبر أن معالجة البيانات الشخصية المتعلقة به تنتهك اللوائح (المادة 77).
تونس
وحول مدى تطبيق الإطار القانوني لحماية البيانات، يقول قدّاس: "نعم هو مطبق لكن منظومات الحماية ليست قوانين وتراتيب فقط، هي أيضًا وخاصةً وعي مجتمعي بضرورة حماية الحياة الخاصة، إذ أن الحماية للمعطيات الشخصية هي قبل كل شيء ثقافة. "دولنا ومجتمعاتنا حديثة العهد بهذه المسائل، وأول دولة عربية وإفريقية كرست قانونيًا هذا الحق هي تونس في دستورها عام 2002 وقانونها عام 2004، والهيئة الوطنية لحماية المعطيات الشخصية هي عميدة الهيئات الرقابية في هذا الفضاء". ويضيف قدّاس أن عمر الحماية في تونس لم يتجاوز 20 سنة. أما أوروبا السباقة في هذا الميدان ابتدأت بتكريس هذا الحق منذ 1978 أي منذ أكثر من 40 سنة. لذا يجب على دولنا تكريس الحماية ووضع هيئة مستقلة وقوية، وبث الثقافة تدريجيًا في مجتمعاتنا.
في المقابل ينتقد الكثير من المتابعين والمهتمين بالمجال الرقمي في تونس القانون، ويعتبرون أنه قد مضى عليه الزمن، فالقانون الذي أقُر في العام 2004 لم يعد يتماشى حاليًا مع المعايير الدولية والأوروبية في حماية البيانات، كما أنه يحتوي على العديد من الثغرات والتحديات.
وحول هذه الثغرات يشرح مستشار السياسات لمنطقة الشرق الأوسط وشمال أفريقيا في منظمة "Access Now" الدكتور أيمن الزغدودي أنه يمكن ذكر عدّة مشاكل كبرى تعتري القانون، فالهيئة التي تُشرف على حماية البيانات الشخصية في تونس ليست بالمستقلة، وتتبع للجهات الحكومية على مستوى التعيين والميزانية، كما أن لديها ضعف في الموارد البشرية، ولا يوجد موظفين بالحجم المطلوب للإشراف على قطاع مهم كحماية البيانات.
كانت تونس سبّاقة بين الدول العربية في إقرار قوانين لتنظيم جمع ومعالجة البيانات، ففي العام 2004 صادقت تونس على القانون الأساسي عدد 63 لسنة 2004 الذي يؤكد في فصله الأول على أن لكل شخص الحق في حماية المعطيات الشخصية المتعلقة بحياته الخاصة باعتبارها من الحقوق الأساسية المضمونة بالدستور. ولا يمكن أن تقع معالجتها إلا في إطار الشفافية والأمانة واحترام كرامة الإنسان ووفقا لمقتضيات هذا القانون.
وأُنشئت بموجب القانون وفق الباب السادس منه، هيئة تسمى "الهيئة الوطنية لحماية المعطيات الشخصية"، تتمتع بالشخصية المعنوية والاستقلال المالي ويكون مقرها العاصمة تونس، وتتولى الهيئة عدة مهام منها: منح التراخيص وتلقّي التصاريح للقيام بمعالجة المعطيات الشخصية، أو سحبها في الصور المقررة بهذا القانون، تلقي الشكاوى المعروضة عليها في إطار الاختصاص الموكل إليها، وتحديد الضمانات الضرورية والتدابير الملائمة لحماية المعطيات الشخصية.
وعن الجهة المخولة بجمع البيانات في تونس، يشرح الخبير في حماية البيانات الشخصية شوقي قدّاس لـ"مهارات ماغازين" أن كل الجهات الطبيعية والمعنوية (خاصة أو عامة) مؤهلة لمعالجة المعطيات الشخصية، ولا تفرقة في طبيعة المسؤول عن المعالجة، المهم هو أن كل معالجة للمعطيات يجب أن تكون ممتثلة لقواعد منظومة حماية المعطيات الشخصية. ويؤكد قدّاس أن المبادئ التي يجب احترامها في عملية المعالجة هي:
- الشفافية: التي تسمح بأن تكون تفاصيل المعالجة معروفة من الشخص المعني ومن هيئة الحماية.
- الكونية: إذ أن الحماية يتمتع بها كل شخص يقوم المسؤول بمعالجة معطياته مهما كانت جنسيته ومكان تواجده داخل أو خارج الدولة.
- الأمانة: التي تعتبر أن عملية المعالجة مبنية على عقد ثقة بين المسؤول عن المعالجة والشخص المعني.
ويضيف الزغدودي في حوار مع "مهارات ماغازين" أن هذا القانون لا يوجد فيه إطار واضح يُحدد التزامات الجهات التي تقوم بمعالجة المعطيات الشخصية، أو كيفية حصولها على رخصة من الهيئة، وما هي العقوبات التي يمكن أن تُفرض على هذه الجهات في حال لم تحترم القانون. وهذا ما جعل بحسب الزغدودي بعض الشركات التي تنشط مثلًا في مجال التجارة الالكترونية، أو التي تعمل للإستحصال على تأشيرات الدخول الى الدول الاوروبية (هناك مقدمي خدمات يلعبون دور الوسيط بين التونسيين و السفارات الاوروبية) أن تقوم بمعالجة البيانات في ظل إفلات تام من رقابة الهيئة الوطنية لحماية المعطيات الشخصية
ما يعكس ضعف كبير لثقافة احترام البيانات الشخصية من قبل الشركات الخاصة.
ويظل "وعي المواطن" لأهمية حماية بياناته الشخصية من أهم القضايا وفق الزغدودي، قائلا: "تنتشر في تونس الكاميرات التي تُوضع في الأماكن العامة وأحيانًا دون الحصول على ترخيص من الهيئة، فإذا لم يتبادر لذهن المواطن البسيط ان هذه الكاميرات تشكل انتهاكًا لمعلوماته وحياته الشخصية، فإنه لن يقوم بإبلاغ الهيئة وتسطير شكوى بهذا الخرق".
مصر
يشكل موضوع البيانات الشخصية في مصر وضرورة حمايتها أمرًا في غاية الخطورة، في بلد هو الأكبر عربيًا لناحية التعداد السكاني. ومع غياب الأطر التشريعية الواضحة طيلة السنوات الماضية وبعد مطالبات عديدة للمجتمع المدني المصري على مدار العقدين الماضيين بضرورة ملء هذا الفراغ، وافق مجلس النواب على قانون حماية البيانات الشخصية رقم 151 لسنة 2020، وصادق عليه رئيس الجمهورية في منتصف تموز/يوليو 2020 .
القانون الذي كان ضرورة في ظل بدء توجه مصر نحو الرقمنة في السنوات الأخيرة، لاقى اعتراضات واسعة على عدة نقاط فيه، منها أن القانون وضع الأُطر التنظيمية لحماية البيانات المُعالجة إلكترونيًّا فقط، في ظل أن معظم المعاملات اليومية الروتينية (في القطاع الحكومي أو الخاص) والتي يتم فيها جمع عدد كبير من البيانات الخاصة، لا يزال يتم بطريقة تقليدية. ورغم وجود بعض التطور مؤخرًا، إلا أنه لا يمكن القول أن هناك خدمات ممكنة بالكامل، ولا بد في أغلب الأوقات من التدخل البشري واعتماد الصِيغ الورقية.
وعن ثغرات القانون يشرح المحامي والباحث القانوني في "مسار- مجتمع التقنية والقانون" حسن الأزهري أن القانون معطل منذ صدوره في العام 2020 ، حيث لم يتم بعد إصدار اللوائح التنفيذية الخاصة به، فالقانون يأتي كمجموعة من القواعد العامة ويتم احالة الاجزاء الاجرائية او التفصيلية فيه الى اللوائح التنفيذية والتي يُفترض أن تصدر في فترة 6 أشهر من تاريخ العمل بالقانون، الأمر الذي لم يحصل منذ أكثر من 3 سنوات.
ومن مشاكل القانون هو نطاق الاستثناءات الواسعة فيه، فبحسب الأزهري "لدينا في مصر القاعدة العامة والاستثناء، ولكن غالبًا ما يكون الاستثناء أكبر من القاعدة، ودائمًا ما تتمتع الجهات الحكومية بالامتيازات، وهذا هو الواقع العربي، ولكن مؤخرًا بدأنا نشعر أن الحكومة هي خارج التنظيم والالتزامات القانونية، وكأن القانون يخاطب فقط الشركات، الأفراد أو القطاع الخاص.
وبحسب القانون وتحديدًا في المادة 19 منه - الفصل التاسع، تُنشأ هيئة عامة اقتصادية تسمى "مركز حماية البيانات الشخصية" تتبع الوزير المختص، وتكون لها الشخصية الاعتبارية، وتهدف الى حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وعن الهيئة يشرح الأزهري أن لديها أكثر من 18 صلاحية منها إنفاذ القانون، منح التراخيص والتصاريح، الإشراف على الجهات المرخص لها، تدريب مسؤولي حماية البيانات، وتلقي الشكاوى من الجهات المتضررة. ويوضح الأزهري أن الهيئة لديها دور كبير جدًا ولكنه دور يحتاج إلى الاستقلالية، فالهيئة يغلب على تشكيلها الطابع الأمني، وأغلب الجهات الأمنية ممثلة فيها (المادة 20).
لبنان
يوجد في لبنان قانون لحماية البيانات الشخصية أُقر في العام 2018 وهو القانون رقم 81 "قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي" والذي جاء لتنظيم القطاع الإلكتروني. ويحتوي القانون على العديد من الثغرات من أهمها أنه جاء متأخرًا جدًا، فالقانون المأخوذ من النظام الفرنسي استغرق 14 عامًا لإقراره بعد سنوات طويلة من الدراسة في اللجان النيابية، حيث بدأ العمل عليه في العام 2004 عندما وضع الخبيرين الفرنسيين البروفسور بيار كتالا والأستاذة فاليري سيداليان مسودته الأولى، وتم ترجمته للغة العربية، الأمر الذي جعله عند إقراره غير مواكب للتطورات التكنولوجية، وغير متوافق مع المعايير العالمية لحماية البيانات الشخصية.
ومن مشاكل القانون غياب هيئة خاصة للإشراف، ففي حين كان التوجه في مسودة قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي لإنشاء هيئة مستقلة تُشرف على منح التراخيص لجمع ومعالجة البيانات، تم إلغاء الأمر وإناطة مهمة التعامل مع طلبات معالجة البيانات بوزارة الإقتصاد والتجارة، حيث نصت المادة 95 أنه "باستثناء الإعفاءات المنصوص عليها في المادة السابقة، يجب على من يرغب بجمع البيانات ذات الطابع الشخصي ومعالجتها، اعلام وزارة الاقتصاد والتجارة بموجب تصريح وفق الأصول لقاء إيصال.
لا يمكن الحديث عن وجود حماية بيانات فعلية في لبنان حيث تغيب الآليات الشفافة والواضحة لعملية جمع ومعالجة البيانات، فالمواطن عند تعبئة معلوماته على نموذج معين يجب أن تتوفر له إمكانية الإطلاع والموافقة على كيفية حفظ بياناته، ومعرفة طريقة الحفظ، وما هي الخوادم"servers" التي تحفظ البيانات وأماكن تواجدها، ومن لديه إمكانية الولوج إليها، وهذا كله غير متوفر.
تشرح محللة السياسات العامة في منظمة "سميكس" نجاح عيتاني في حديث ل"مهارات ماغازين" أنه هناك عدّة عوامل ساهمت وتساهم في عدم وجود أُطر فعالة لحماية البيانات في لبنان، وأهمها هو غياب الوعي، فقبل العام 2018 لم يكن هناك ثقافة مجتمعية حول أهمية البيانات الشخصية، ما نتج عنه بطبيعة الحال غياب المطالبات أو الضغط لإقرار تشريعات وقوانين لحفظ البيانات، ولكن مع مرور الوقت و تسارع التطور التكنولوجي بدأ المواطنون يُدركون أهمية حماية بياناتهم الشخصية، وأن هناك جهات وشركات قد تقوم "بالمستحيل" لتصل وتحصل على معلوماتهم الخاصة.
المشكلة الثانية بحسب عيتاني تكمن في أن السياسات العامة في لبنان تحتاج وقتا طويلا لإقرارها، "فقد نملك مشروعا جيدا، ومصاغًا بطريقة دقيقة، يأخذ بعين الاعتبار آراء الخبراء والمجتمع المدني، إلا أن المناقشات التي قد تستغرق سنوات، تجعل من أي تشريع غير متلائم مع التطور العالمي، فمثلا القانون 81 الذي أُقر في العام 2018 كان يُعمل عليه قبل 7 سنوات وهي فترة طويلة جدًا في عالم التكنولوجيا.
وتضيف عيتاني أن الازمة الاقتصادية التي يعاني منها لبنان، هي أيضًا من الأمور التي تؤثر على حماية البيانات الشخصية، حيث لا مؤسسات تعمل بشكل صحيح، والموازنة محدودة، والإدارات العامة والوزارات ليسوا اليوم في وارد الاستثمار في حماية البيانات، حيث يحتاج هذا القطاع التقني بطبيعته لإمكانيات مادية لتطويره قد لا تكون متوفرة حاليًا.
الأردن
في الأردن وبعد سنوات من الانتظار، تم مؤخرًا اصدار قانون حماية البيانات الشخصية رقم (24) لسنة 2023 بتاريخ 2023/9/17، وبدأ العمل به بتاريخ 2024/3/17. لاقى القانون ترحيبا من قبل الحقوقيين والناشطين في الأردن أولًا لأنه قد بات هناك ضرورة قصوى لتنظيم البيئة الرقمية وضبط عمل الجهات التي تجمع وتعالج البيانات الشخصية في ظل التسارع الهائل الذي تنتهجه التكنولوجيا، وثانيا لتضمين القانون العديد من المواد التي تتماشى مع المعايير الدولية مثل ضرورة الحصول على موافقة الفرد المسبقة لمعالجة البيانات (المادة 4)، والحق في محو البيانات أو اخفاؤها إذا تمت المعالجة لغرض غير الذي جُمعت من أجله أو بشكل غير الذي تمت الموافقة المسبقة عليه (المادة 10).
في المقابل لاقى القانون عدة ملاحظات منها ما يتعلق مثلًا بالمجلس الذي سيشرف على القطاع، فبحسب المادة 16 من القانون يُشكّل "مجلس حماية البيانات الشخصية" ومن مهامه: إقرار السياسات والاستراتيجيات والخطط والبرامج المتعلقة بحماية البيانات ومراقبة تنفيذها، إصدار التراخيص والتصاريح الخاصة بحفظ البيانات ومعالجتها وتشخيصها ونقلها، النظر في الشكاوى والطلبات. وهنا يبرز التساؤل عن مدى استقلالية هذا المجلس أو قدرته على العمل خاصة أننا إذا ما نظرنا لأعضائه نرى أن المجلس هو برئاسة وزير الإقتصاد الرقمي والريادة، وعضوية ممثلين عن البنك المركزي والأجهزة الأمنية وممثلي عن قطاع الاتصالات والبنوك وهي كلها جهات قد يكون لها مصلحة في جمع أكبر عدد ممكن من البيانات.
ومما يؤخذ على القانون أنه وإن ميّز في التعريفات بين البيانات الشخصية (البيانات والمعلومات التي تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشـرة)، والبيانات الشخصية الحساسة (التي تدل على أصل الشخص أو عرقه أو تدل على آرائه أو انتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسـدية) لكنه لم يميّز بينهما في المعالجة، ولم يضع إطارا خاص للبيانات الحساسة.
استثناءات تثير المخاوف والدولة المستفيد الأكبر
احتوت معظم القوانين العربية الخاصة بحماية البيانات على عديد الاستثناءات التي جعلت من جهات متعددة أهمها الدولة، المؤسسات الأمنية، والشركات الكبرى، قادرة على الاضطلاع على المعلومات الشخصية للمواطنين، مع ما يحمله ذلك من خطر تسريبها، خرقها، والأسوأ من ذلك استخدامها في الإطار السياسي للضغط على الناشطين والصحافيين، ما يشكل انتهاكًا فاضحًا لحرية الرأي والتعبير. وتتذرع الدول دائمًا بمصطلحات "فضفاضة" لتبرير محاولاتها السيطرة على البيانات لا سيما مفهوم "الأمن القومي" والذي في الأصل يختلف من دولة الى دولة ولا يمكن تحديد أبعاده بسهولة.
ففي مصر يستثني القانون رقم 151 لسنة 2020 العديد من الجهات مثل المؤسسات الخاضعة للبنك المركزي وجهات الأمن القومي من الخضوع للقانون، وبحسب المادة 3 "لا تسري أحكام القانون على عدّة حالات" منها (على سبيل المثال لا الحصر) :
- البيانات الشخصية المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوى القضائية.
- البيانات الشخصية لدى جهات الأمن القومي وما تقدره لاعتبارات أخرى.
- البيانات الشخصية لدى البنك المركزي المصري والجهات الخاضعة لرقابته وإشرافه عدا شركات تحويل الأموال وشركات الصرافة.
تكمن المشكلة بحسب المحامي حسن الأزهري في فلسفة الاستثناءات، فالقانون يستثني جهات بالكامل بينما الطبيعي أن يتم استثناء أنواع معينة من البيانات، مؤكدًا أن من بين نماذج الاستثناءات "الفجّة" هو البنك المركزي والجهات التابعة له أو يشرف عليها، ما يعني أن كل البنوك في مصر، وكل ما يصدر له ترخيص من البنك المركزي غير خاضع للقانون. والغريب وفق الأزهري أن القانون يتطرق في إحدى مواده للبيانات الحساسة، وهي التي يجب أن تتمتع بمستوى عال من الحماية ومنها "البيانات المالية"، ومع ذلك يتم استثناء البنك المركزي والبنوك المصرية من القانون.
يضيف الأزهري، هناك أيضًا قضية استثناء جهات الأمن القومي من القانون، والنقاش مستمر في مصر حول هذه النقطة، فجهات الأمن القومي تجمع بيانات عن الاشخاص، والقانون واضح بأن الجمع يجب ان يكون لأغراض مشروعة ومعروفة ومعلنة، "ويجب أن أملك الحق في معرفة من يجمع بياناتي، فما الضرر أن تقول هذه الجهات أنها تجمع البيانات، نحن لا نطالب بالافصاح عنها، ولكن كمواطن أريد أن اعلم حجم بياناتي لدى الامن القومي". ويعتبر الأزهري أن هناك استثناءات يمكن تفهمها، مثل جهات الإحصاء التي تقوم بالتعداد السكاني وتحتاج لجمع المعلومات دائمًا، ولكنها أيضًا يجب أن تخضع لضوابط معينة.
مشكلة أخرى في تونس بعد أن تم إقرار قانون الجرائم الالكترونية في أيلول 2022، وهذا المرسوم وفق الفصل السادس منه، يُلزم مزوّدي خدمات الاتصال بإنشاء قاعدة بيانات متعلقة بالمكالمات والاتصالات وتخزين هذه المعطيات لمدة لا تقل عن سنتين، وهذا أمر خارج سلطة وإشراف هيئة المعطيات الشخصية، وسيسمح لوزارة الداخلية وجهات المخابرات أن تقوم بالنفاذ لهذه البيانات بكل حصانة وبدون أي رقابة.
ويؤكد الزغدودي أن الحق في الخصوصية مرتبط بصورة كبيرة بالحق بحرية التعبير لان عندما يشعر الشخص أن الدولة يمكنها تعقب كل تحركاته، تنقلاته واتصالاته، فهذا سوف يحد بشكل كبير من اريحية الأفراد في التعبير عن ارائهم، كذلك عندما تكون المعطيات الشخصية غير آمنة فحتى الصحافيين الذين يقومون بتقارير حول الانتهاكات والتجاوزات فيما يتعلق بحقوق الإنسان سيخافون، لأن مصادرهم وأعمالهم قد تكون عرضة للقرصنة أو الرقابة، أو يتم وضعهم تحت التنصت، وهذه كلها مخاوف تراود العديد من الحقوقيين، الصحافيين، والمدونين والمدونات في تونس.
في الأردن ورغم اشتراط القانون رقم (24) لسنة 2023 في المادة 4 منه على ضرورة أخذ موافقة الشخص المعني قبل معالجة بياناته، إلا أن المادة نفسها راعت المادة 6 من القانون التي تقول أن المعالجة تكون قانونية ومشروعة ويجوز إجراؤها دون الحصول على الموافقة المسبقة أو إعلام الشخص المعني في عدة حالات منها:
- إذا كانت ضرورية للأغراض الطبية الوقائية أو التشخيص الطبي أو تقديم الرعاية الصحية من قبل المرخص له بمزاولة أي من المهن الطبية.
- إذا كانت ضرورية لحماية حياة الشخص المعني أو لحماية مصالحه الحيوية.
- إذا كانت ضرورية لمنع جريمة أو لكشـفها من قبل جهة مختصة أو لملاحقة الجرائم المرتكبة خلافا لأحكام القانون.
ولكن أكثر هذه الاستثناءات "إثارة" هي تلك المعالجات التي تصنف ضرورية لأغراض إحصـائية أو لمتطلبات "الأمن الوطني" أو "لتحقيق المصلحة العامة" وهي من المصطلحات الفضفاضة التي لا يمكن تعريفها بدقة وتفتح بالتالي الباب لخرق سرية بيانات المواطنين دون حسيب أو رقيب. هذا فضلًا عن استثناء المادة 6 أيضًا الجهات الخاضعة لرقابة وإشراف البنك المركزي الأردني من الحصول على إذن مسبق من الشخص المعني إذا كانت المعالجة مطلوبة لأعمالها وذلك وفقا لما يقرره البنك المركزي الأردني بما في ذلك نقل وتبادل البيانات داخل المملكة أو خارجها.
اذًا يمكن القول أن معظم الاستثناءات الموجودة في القوانين العربية، ما هي إلاّ بمثابة " دَسٌ للسُّم بالعسل" لتفعيل حضور جهات تُعدّ البيانات مورد وحاجة أساسية لها على الصعيد الاقتصادي، السياسي، والأمني.
وحول الخوف من استخدام الجهات الحكومية والأمنية إعفائها من الخضوع للقانون، وامكانية ولوجها للمعلومات الشخصية للضغط على أصحاب الرأي، يؤكد الأزهري أنه لا يمكن الحديث عن حالات معينة بعد حيث أن القانون ما زال لم يختبر، ولكن بشكلٍ عام فإن جمع أيّة جهة سواءً كانت حكومية أو خاصة لبيانات كثيرة (يمكن من خلالها فهم أو توقع نمط حياة الأفراد أو سلوكها) يمكن أن يثير المخاوف، والمشكلة الأساسية أن ثقافة حماية البيانات لا تزال غائبة عند المواطن العادي في مصر.
إلى لبنان حيث لا يُطبق القانون رقم 81، "قانون المعاملات الالكترونية والبيانات ذات الطابع الشخصي" على الإدارات العامة للدولة، فلقد استثنت المادة 94 منه المعالجات التي يجريها أشخاص الحق العام على البيانات الشخصية كل في نطاق صلاحياته من موجب التصريح عنها، ما يعيق حق الأفراد في الاطلاع على هذه المعالجات وتقييم أثرها بالنسبة إليهم.
وتؤكد نجاح عيتاني أنه في الآونة الاخيرة يظهر أن الدولة تحاول الوصول للمعلومات والضغط على الناشطين/ات، فضلًا أنها لا تحترم القوانين الموجودة. "ومن النماذج ما حصل مؤخرًا مع إحدى الصحافيات في لبنان حيث تخطينا موضوع حرية التعبير والبيانات الشخصية، ووصلنا للبحث في الهواتف الشخصية والحواسيب، وكشف المصادر الصحافية، في مخالفة واضحة لأصول المحاكمات المدنية والجزائية التي تسمح للدولة "فقط بشروط ضيقة جدًا" بالدخول لمنازل الأشخاص أو مراجهة الهواتف والمستندات". وتضيف عيتاني، "أهمية البيانات ذات الطابع الشخصي للأسف قد تساعد الدول أو أي جهة أخرى في الضغط على الأشخاص أو مراقبتهم والحد من تحركاتهم.
وتشيرعيتاني أن الخوف الأكبر هو من إمكانية ولوج جهات غير لبنانية إلى المعلومات الشخصية للمواطنين خاصة مع استفحال الأزمة الاقتصادية وحاجة الوزارات والإدارات العامة للمساعدات الدولية. "على سبيل المثال ما حصل في جائحة كورونا حيث كان هناك حاجة للدولة أن تُطلق تطبيقات معيّنة لجمع المعلومات والتسجيل من أجل الحصول على أذونات الخروج، أو التسجيل للحصول على اللقاح، وهذه المشاريع كانت بجلّها عبارة عن منح ممولة من الخارج".
في تونس وفي السياق نفسه حول الاستثناءات في القوانين المعنية بالبيانات الخاصة، يشرح الدكتور أيمن الزغدودي أنه في 11 مارس/آذار 2024 تم المصادقة على قانون جديد في تونس يتعلق ببطاقة التعريف والباسبور البيومتري وكان هناك نقاش حول أحقية وزارة الداخلية بإنشاء قاعدة بيانات تتضمن المعلومات البيومترية لكل المواطنين التونسيين، القانون لم يمنع إنشاء قاعدة بيانات، ووفق القاعدة القانونية بأن "كل ما هو غير ممنوع مجاز"، هناك توجه الآن من قبل الوزارة لإنشاء قاعدة بيانات تشمل المعلومات البيومترية، وهذا خطر كبير جدًا، لأن هذه القاعدة يمكن ان يتم قرصنتها أو خرقها او تسريبها لاي جهة أخرى، وطالما أن وزارة الداخلية يحق لها انشاء قاعدة البيانات البيومترية فهذا نوعًا ما استثناء، فتصبح الوزارة يحق لها التصرف بهذه البيانات دون الحصول على أي ترخيص من الهيئة.
في دول الصراع: البيانات ليست أولوية
تُعد البيانات الشخصية في الظروف الطبيعية مهمة للمواطنين، ولأي مجتمعٍ انتموا، ولكن ماذا عن الدول التي عانت وتعاني من الحروب والنزاعات؟ هل تنطبق عليها المعايير نفسها؟ وكيف تتعامل الحكومات والأطراف المتصارعة مع مفهوم المعلومات الخاصة.
في السودان
أدت الحرب المستمرة منذ عام كامل (منتصف نيسان/أبريل 2023) بين الجيش السوداني وقوات الدعم السريع الى شلّ كل ما في البلاد، وعليه يمكن القول أن غالب المواطنين/ات اليوم لا يكترثون لحماية بياناتهم الشخصية أو يشغلون بالهم بمن وكيف يعالجها، حيث الاولوية بالنسبة لهم هي حماية أنفسهم وعائلاتهم والنزوح لمناطق آمنة، وتأمين أبسط مقومات الحياة المعيشية.
في المقابل يعاني الناشطون والصحافيون في السودان العديد من الانتهاكات الرقمية، من توقيفات وملاحقات، وتفتيش أجهزة خلويّة على خلفية نشر آراء معينة عن طرفي النزاع، بالاضافة لرصد حساباتهم في خرقٍ واضح لكل معايير الخصوصية.
لا تملك السودان عمليًا قوانين واضحة وخاصة بحماية البيانات الشخصية، لكنها تملك قانون للجرائم المعلوماتية لسنة 2007، وقانون الأمن الوطني السوداني لسنة 2010، الذي ينص في المادة 25 منه على أن لجهاز الأمن الوطني الحق بطلب المعلومات أو البيانات أو الوثائق أو الأشياء من أي شخص والإطلاع عليها، أو الاحتفاظ بها ، أو اتخاذ ما يراه ضروريًا أو لازمًا بشأنها، ما يُعرّض المعطيات الشخصية للمواطنين لخطر شديد.
في اليمن
حيث الوضع ليس بأفضل حالًا، حربٌ دائرة منذ قرابة العشر سنوات أدت إلى انقسام سياسي واجتماعي حاد، وأدى هذا الانقسام والفوضى إلى تعطيل المؤسسات الرسمية وأهمها مجلس النواب المسؤول الأول عن سن القوانين وانتظام الحياة السياسية.
- وحول القوانين التي تُنظّم قطاع البيانات الشخصية في اليمن، يشرح فهمي الباحث - مدافع عن الحقوق الرقمية أنه لا يوجد فعليًا قانون خاص يتعلق بحماية البيانات الشخصية في اليمن، بل تم التطرق للأمر جزئيا ضمن القانون رقم 13 لسنة 2012 المتعلق بحق الحصول على المعلومات وتحديدًا في باب حماية الخصوصية مثل المواد 50 و51 ، وهي مواد غير مفصّلة ويغلب عليها طابع العمومية، ويُفترض أن يكون هناك قانون خاص لحماية البيانات الشخصية، ولكن بسبب الوضع الحالي لا يتم العمل على هكذا تشريعات، حتّى أن قانون الحصول على المعلومات نفسه مُعطل ولا يتم تفعيله.
ويعتبر الباحث أنه بالنسبة للصحافيين والناشطين الحقوقيين وعموم المواطنين في اليمن فإن الاهتمام بالحقوق الرقمية بشكل عام ليس اولوية بالنسبة لهم، وهذا يعود بالمقام الأول بحسب الباحث الى جهلهم أصلًا بأهمية مثل هكذا قوانين أو بالحقوق الرقمية والانترنت.
ويقول الباحث: "قلة قليلة تجدها تتحدث بهذه المواضيع وعلى استحياء، أنا شخصيًا عندما أتحدث حول هذه القضايا، تصلني غالبًا رسائل وتعليقات تقول أن هذه ليست الأولوية، وهناك ما هو أهم لنتحدث عنه حيث الناس تموت، وهناك جوع وفقر وسجون".
يبقى التذكير في الختام أن قوانين البيانات الشخصية في الدول العربية ورغم مشاكلها هي حاجة ملحّة، ويجب الضغط من قبل الحقوقيين، القانونيين، والعاملين في المجال الرقمي لتطوريها وسد النواقص والثغرات التي من خلالها (ولأسباب مختلفة) تحاول السلطات التحايل والسيطرة على المعلومات الشخصية للأفراد.